我们昨天在debian lenny服务器上上传了一个特洛伊木马。它花费了6个小时修复几个网站+本地电脑。在1的本地电脑上,我发现防火墙被设置为禁用。电脑也感染了这个特洛伊木马:JS/BlacoleRef.W为什么这台电脑有我们服务器的ftp帐户?对于每天上传到服务器的运输跟踪+每周上传一份新的时事通讯。
问题:服务器上是否有测试所有ftp/ssh上传的现有解决方案。这应该对我们有很大帮助。
显然,首先要做的是保持所有机器的清洁,甚至是客户端。
FTP
这取决于你使用的密码。通常情况下,服务器端不会扫描上传的内容,但proftpd具有模块化架构,您可以编写mod_content_checker检查不符合策略的上传和拒绝文件。
您也可以使用clamv扫描文件。
SSH/rsync
您可以将强制命令与扫描文件的脚本一起使用。
但请保持所有机器的清洁。